ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスの
データベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
https://internet.watch.impress.co.jp/docs/news/1441843.html
https://www.nitori-net.jp/ecstatic/image/pdf/nitori001.pdf
https://www.nitorihd.co.jp/news/items/2cdbc59fa4c3ffe4da790cc1cfe85200.pdf
https://www.nitorihd.co.jp/news/items/72a9f692d27769ef90c0fc86d9c7d6d5.pdf
ニュース概要
– 9月20日(日本時間)、ニトリホールディングス社より、同社のスマートフォンアプリ「ニトリアプリ」に対する不正ログインが発生していたことが発表されました。
– 不正ログインの対象とされるのは、ニトリネット・ニトリアプリ・シマホアプリで会員登録を行った、あるいはシマホネットでニトリポイント利用手続きを行ったユーザー約132,000件で、個人情報(メールアドレス・パスワード・会員番号・氏名・電話番号・住所等)が第三者に閲覧された可能性があるとのことです。
– 不正ログインは9月15日から発生、同19日になって同社で攻撃の存在を確認、外部サービスから流出したアカウント情報のリストによる、いわゆる「リスト型攻撃」の可能性があるとしており、対象ユーザーについてパスワードのリセットを行っているとのことです。
AUSからの所感
クレジットカード番号の一部と有効期限も第三者に閲覧された可能性があるものの、カード決済に必要な情報は同社グループのシステム上に保持されていないため、クレジットカード決済が実行されることはないとしています。
リスト型攻撃は不正ログインのターゲットとなるサイトのシステム自体の脆弱性等を突かなくとも成立し得るものであり、ユーザー側はその被害を受けないよう、「複数のサイト等で同じパスワードを使い回さない」「推測されにくいパスワードを設定する」という鉄則を改めて認識・実行することが肝要です。
一方で、リスト型攻撃による不正ログインが問題視されるようになって10年近く経過し、二段階認証・多要素認証等のログイン機構を強化する方法が普及している現状、サービス提供者側においても、パスワードの設定における対策をユーザーに呼び掛けるアプローチだけに留まらず、多要素認証の導入等による積極的なユーザーの保護が今後要求されることになるでしょう。
